<div class="navbar">
    <div class="navbar-inner">
        <div class="left"><a href="#" class="back link"> <i class="icon icon-goback"></i><span>返回</span></a></div>
        <div class="center">正文</div>
        <div class="right">
            <a href="/touch/comment/index?id=587662" class="link item-comment-btn text-navbar color-orange"><i class="icon icon-comment"></i>评论</a>
        </div>
    </div>
</div>
<div class="pages">
    <div data-page="article" class="page navbar-through">
        <div class="page-content article-wrap">
            <div class="content-block">
                <div class="article-title"">代码缺陷导致 CloudFlare 泄露大量客户站点的密码等私密信息</div>
            <div class="article-byline"">
            <span class="source">cnBeta.COM&nbsp;&nbsp;</span>
            <span class="time">2017-02-24 15:25:43</span>
        </div>
        <div id="J_article_top">
            <script type="text/javascript">
$$('#J_article_top').html("");
$$('#J_article_top').html($$('#J_cbad_top').html())
</script>
        </div>
        <div class="article-summary"><b>摘要：</b><p><strong>据外媒报道，知名网络优化服务（CDN）提供商 CloudFlare 最近遭遇了一起严重的泄露事件，包括 cookies、API 键值、以及密码等在内的许多敏感个人信息被曝光。</strong>另据昨晚一篇博文的详细披露，该公司为数百上千万个互联网站点提供 SSL 加密。虽然 CloudFlare 当前暂未证实这批信息被恶意利用，但搜索引擎上的部分缓存又是另一个问题。</p></div>
        <div class="article-body"><p style="text-align: center"><a href="http://cdn1.vox-cdn.com/uploads/chorus_image/image/53400927/cloud.0.png" target="_self"><img src="http://static.cnbetacdn.com/article/2017/0224/cf723653006ab30.png" alt="cloud.0.png"/></a></p><p>2 月 18 号的时候，在谷歌 Project Zero 安全小组工作的 Travis Ormandy 最先在 Twitter 上爆料了此事。但实际上，这个缺陷或许可以追溯至去年 9 月 22 号。<br/></p><p>CloudFlare 表示，规模最大的一次信息泄露始于 2 月 13 日，当时发生的代码异动表明每秒 3,300,300 次的 HTTP 请求可能导致了内存溢出。</p><p style="text-align: center"><img src="http://static.cnbetacdn.com/article/2017/0224/1f10cb84eb3c79d.jpg" alt="20170224 Tavis Ormandy - Twitter.jpg"/></p><p>在被缓存的数据中，Ormandy 看到了某约会站点上的预订酒店和密码等完整信息。他在 2 月 19 号<a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=1139" target="_self">写到</a>：</p><blockquote><p>我不知道 CloudFlare 背后究竟有多少互联网站点，直到发生了这件事。这包括完整的 https 请求、客户端 IP 地址、完整的响应、cookies、密码、键值、日期等一切内容。</p></blockquote><p>在 Ormandy 发布了推文之后，CloudFlare 工程师禁用了导致出现问题的三项功能代码，并与搜索引擎方携手清理缓存信息。</p><p>[编译自：<a href="http://www.theverge.com/2017/2/24/14723184/cloudflare-leak-cloudbleed-passwords-dating-site-messages" target="_self">TheVerge</a>]</p></div>
        <div class="article-tail">[ 编辑：raymon725 ]</div>
        <div class="article-share">
            <!-- Baidu Button BEGIN -->
            <div class="bdsharebuttonbox bdshare-button-style0-32" data-bd-bind="1481876802501"><a href="#" class="bds_more" data-cmd="more"></a><a href="#" class="bds_qzone" data-cmd="qzone" title="分享到QQ空间"></a><a href="#" class="bds_tsina" data-cmd="tsina" title="分享到新浪微博"></a><a href="#" class="bds_tqq" data-cmd="tqq" title="分享到腾讯微博"></a><a href="#" class="bds_sqq" data-cmd="sqq" title="分享到QQ好友"></a><a href="#" class="bds_bdhome" data-cmd="bdhome" title="分享到百度新首页"></a><a href="#" class="bds_renren" data-cmd="renren" title="分享到人人网"></a><a href="#" class="bds_weixin" data-cmd="weixin" title="分享到微信"></a></div>
            <script>window._bd_share_config={"common":{"bdSnsKey":{},"bdText":"","bdMini":"2","bdMiniList":false,"bdPic":"","bdStyle":"0","bdSize":"32"},"share":{}};with(document)0[(getElementsByTagName('head')[0]||body).appendChild(createElement('script')).src='http://bdimg.share.baidu.com/static/api/js/share.js?v=89860593.js?cdnversion='+~(-new Date()/36e5)];</script>
        </div>
    </div>
    <div id="J_article_bottom">
        <script type="text/javascript">
        if($$('div[id^=BAIDU_SSP__wrapper_u2578965_0]').length > 0) $$('#J_article_bottom').html($$('div[id^=BAIDU_SSP__wrapper_u2578965_0]').prop("outerHTML"))
    </script>
    </div>
</div>
</div>
</div>
